LUKS - нужно ли шифровать диски и как это сделать : Linux

В своей практике во времена поддержки офисов, когда я работал как аутсорсер, пару раз сталкивался с ситуациями, когда у заказчиков воровали диски. Первую историю мне рассказали, когда я спросил, зачем вам зашифрованный корень на Linux. Оказалось, что у них приходящий админ стащил один из дисков hot-swap в сервере. Там был RAID1, так что пропажу не сразу заметили. А он, судя по всему, знал, что уведомлений никаких нет, поэтому тиснул диск.

У другого заказчика кто-то стащил внешний USB диск, который использовался для бэкапов. Компания не очень большая, серверная (небольшая стойка) была не закрыта. Кто-то зашёл и забрал диск. После этого перенесли всё в отдельное помещение и стали закрывать. А до этого оборудование стояло в подсобном помещении в закутке без дверей.

Когда есть риск, что ваше хранилище с данными могут украсть, имеет смысл его зашифровать. Тут проще всего использовать LUKS (Linux Unified Key Setup), с помощью которого можно зашифровать раздел, а потом работать с ним как с обычной файловой системой.

Кратко покажу, как выглядит работа с LUKS. Устанавливаем в Debian:
Шифруем отдельный раздел. Если подключили чистый диск, то сначала этот раздел создайте с помощью fdisk или parted.
Подключаем этот раздел к системе, указывая любое имя:
В разделе /dev/mapper появится устройство lukscrypt. Дальше с ним можно работать, как с обычным устройством. Например, сделать LVM раздел или сразу же файловую систему создать. При желании, с помощью LUKS и BTRFS можно и корневой раздел поднять на этой связке. Видел такие инструкции для рабочего ноута. Для загрузки нужно будет интерактивно пароль вводить.

Я такие крайности не очень люблю, поэтому показываю на примере EXT4:
Теперь если кто-то тиснет диск, то не увидит его содержимое. Диск расшифровывается после команды cryptsetup luksOpen. После этого его можно смонтировать в систему и прочитать данные.

Для внешних устройств, которые используются как хранилища бэкапов, очень рекомендуется так делать. Можно не шифровать сами данные, которые на них льются, если не боитесь раздать их по дороге. Так как LUKS позволяет работать с шифрованным разделом, как с обычным блочным устройством, можно без проблем настроить шифрованный бэкап сервер. Например, собрать из нескольких дисков любой mdadm массив, зашифровать его и подключить к системе. А если потом нужны разные разделы на шифрованном диске, пустить поверх LVM и разбить этот массив на логические разделы.

Да, шифрование дисков важно, особенно когда есть риск кражи или несанкционированного доступа к данным. Шифрование позволяет защитить данные от несанкционированного доступа, даже если физический носитель (диск) был украден или потерян.

Одним из распространенных методов шифрования дисков является использование LUKS (Linux Unified Key Setup). LUKS — это стандарт для шифрования дисков в Linux, который позволяет зашифровать как отдельные разделы, так и целые диски. Ниже приведены шаги для шифрования диска с использованием LUKS:

1. Убедитесь, что у вас установлены необходимые компоненты, включая LUKS, cryptsetup и dm-crypt.
2. Создайте раздел или разделы на диске, которые вы хотите зашифровать.
3. Используйте утилиту cryptsetup для преобразования раздела или диска в зашифрованное устройство. Например, для создания зашифрованного раздела /dev/sda1 команда может выглядеть так: `sudo cryptsetup luksFormat /dev/sda1`
4. Введите пароль для разблокировки зашифрованного раздела. Убедитесь, что пароль надежный и сохраните его в надежном месте.
5. Разблокируйте зашифрованный раздел с помощью команды `sudo cryptsetup luksOpen /dev/sda1 encrypted`.
6. Создайте файловую систему на зашифрованном разделе с помощью команды `sudo mkfs.ext4 /dev/mapper/encrypted`.
7. Монтируйте зашифрованный раздел и начните использовать его, как обычный раздел. Например, `sudo mount /dev/mapper/encrypted /mnt/data`.

Помните, что перед проведением операций по шифрованию и форматированию диска рекомендуется создать резервные копии всех важных данных, так как процесс может привести к потере данных. Кроме того, сохраняйте и храните пароли для доступа к зашифрованным разделам в надежном и безопасном месте.